Da bi kompletno i pravilno, sukladno zakonskim i podzakonskim propisima, poslodavac odnosno njegovi HR menadžeri mogli upravljati ljudskim potencijalima, od izuzetnog je značaja i zaštita osobnih podataka kao jedna od elementarnih komponenata upravljanja ljudskim potencijalima.

Upravljanje ljudskim potencijalima predstavlja široko područje koje uključuje cjelokupnu problematiku ljudskih resursa u pojedinom trgovačkom društvu ili drugom kolektivu, od planiranja potreba za njima, njihova pribavljanja i optimalnog raspoređivanja, vođenja i motiviranja, do njihove zaštite i razvoja. Upravljanjem ljudskim potencijalima uglavnom se bave HR menadžeri odnosno Human Resources Management. S obzirom na to da upravljanje ljudskim potencijalima započinje sa selekcijom zaposlenika odnosno radnika, prilikom iste će kandidati za pojedina radna mjesta, svom potencijalnom poslodavcu dostaviti cijeli niz osobnih podataka. Također, za vrijeme trajanja zaposlenja, poslodavac odnosno njegovi HR menadžeri barataju nizom osobnih podataka svojih zaposlenika. Da bi kompletno i pravilno, sukladno zakonskim i podzakonskim propisima, mogli upravljati ljudskim potencijalima, od izuzetnog je značaja i zaštita osobnih podataka kao jedna od elementarnih komponenata upravljanja ljudskim potencijalima.

ODGOVORAN ODNOS PREMA PODACIMA
Iako su poslodavci i ranije bili obavezni štititi osobne podatke svojih zaposlenika odnosno kandidata za pojedina radna mjesta koji se javljaju u selekcijskim postupcima, tek po stupanju na snagu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje u tekstu: Opća uredba o zaštiti podataka ili GDPR) je ta obaveza postala veliki dio upravljanja ljudskim potencijalima koji se ne smije zanemariti.

Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka. Opća uredba o zaštiti podataka primjenjuje se na obradu osobnih podataka koja se u cijelosti obavlja automatizirano, kao i na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

Osobni podaci na koje se odnosi predmetna Opća uredba o zaštiti podataka uključuje sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, dok obrada osobnih podataka podrazumijeva svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

U konkretnom slučaju, prilikom upravljanja ljudskim potencijalima, voditelj obrade će biti poslodavac odnosno potencijalni poslodavac koji sam ili zajedno s nekom trećom osobom određuje svrhe i sredstva obrade osobnih podataka. Ako je riječ o obradi osobnih podataka osoba koje su već primljene u radni odnos kao zaposlenici, obrada osobnih podataka je uređena i Pravilnikom o sadržaju i načinu vođenja evidencije o radnicima koji regulira koji su to minimalno potrebni osobni podaci za svakog radnika kojima poslodavac treba raspolagati. Prilikom obrade osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika te prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. Nadalje, osobni podaci koji se obrađuju moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju s ciljem smanjenja količine podataka.

Također, osobni podaci trebaju biti točni i prema potrebi ažurni te se mora poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave. Prilikom čuvanja osobnih podataka, to mora biti u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, a pohranjivanje na dulja razdoblja dopušteno je isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.

Svakako je potrebno voditi računa da se osobni podaci obrađuju na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera te će voditelj obrade biti odgovoran za usklađenost načina obrade s uvjetima Opće uredbe o zaštiti podataka te mora biti u mogućnosti dokazati da je način obrade sukladan uvjetima iste Uredbe.

PRAVA ISPITANIKA
Kako bi obrada bila zakonita potrebno je da za istu ispitanik da privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha ili obrada može biti nužna iz Uredbom propisanih razloga. Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka, a zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika.

Svaki ispitanik ima pravo u svakom trenutku povući svoju privolu, no povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Nužno je da povlačenje privole bude jednako jednostavno kao i njezino davanje.

Za vrijeme cijelog trajanja obrade osobnih podataka, ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, ima pravo na pristup osobnim podacima i informacijama koje uključuju svrhu obrade, kategorije osobnih podataka o kojima je riječ, podatke o primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja.

Također, ispitanik mora biti obaviješten i o postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu, o pravu na podnošenje pritužbe nadzornom tijelu. Jedno od prava ispitanika u odnosu na obradu osobnih podataka uključuje i pravo na brisanje (“pravo na zaborav”), što znači da ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni ili ako ispitanik povuče privolu na kojoj se obrada temelji, a ne postoji druga pravna osnova za obradu.

Pravo na zaborav ispitanik može iskoristiti i u slučaju ako uloži prigovor na obradu te ako ne postoje jači legitimni razlozi za obradu, ako su osobni podaci nezakonito obrađeni ili se moraju brisati radi poštivanja pravne obveze iz prava Unije ili prava države članice kojem podliježe voditelj obrade.Prilikom upravljanja ljudskim potencijalima obrada osobnih podataka zaposlenika i potencijalnih kandidata za pojedina radna mjesta nužna je kako bi se iz perspektive poslodavca moglo utvrditi ispunjavaju li kandidati uvjete za pojedino radno mjesto odnosno koji zaposlenici ispunjavaju uvjete za napredovanje, kao i radi praćenja stanja i razvoja ljudskih resursa.

Prilikom obrade osobnih podataka prije svega je važno utvrditi i propisati odgovarajućim Pravilnikom na koji način i koji će se podaci prikupljati, čuvati, u kojim rokovima i hoće li se davati na uvid ili obradu i nekim trećim osobama. Dužnost je poslodavaca da prikupljeni osobni podaci ne budu učinjeni dostupnima neovlaštenim osobama te da se čuvaju najviše onoliko koliko je to nužno da se ostvari svrha radi koje su inicijalno prikupljeni odnosno da se nakon proteka tog roka na odgovarajući način unište ili pak pohrane dok je to potrebno za postizanje svrhe predviđene posebnim propisom (primjerice, u svrhu isplata mirovina po prestanku radnog odnosa).